Apple安全神話の終焉

Appleと、同社を神のごとく崇めるユーザーは、Apple製品がマルウェアのないプラットフォームであることを長きにわたって誇りとしてきました。そのような時代が終わったことに議論の余地はありません。カリフォルニア州クパチーノに本社を置くIT大手Appleは、モバイルコンピューティング市場の黎明期に成功を収め、(少なくとも過去2年間は)従来型のコンピューターとラップトップの市場でシェアを拡大しており、かつてはAppleを標的にしてもお金にならないと考えていたサイバー犯罪者も、同社に関心を寄せるようになりました。 新たな厳しい現実として、Appleを含めどんなプラットフォームも脅威とは無縁ではありません。むしろAppleはさまざまな方向から包囲されていると言えます。攻撃者も研究者も、Appleのモバイル製品、従来型コンピューター、そしてリモートアクセス可能なクラウドサービスにもぜい弱性を発見し、エクスプロイトを作成しています。 AppleのモバイルオペレーティングシステムiOSは、iPhoneまたはiPadからコンピューターへのテザリング機能がありますが、先ごろドイツの大学の研究者チームが、テザリングの事前共有鍵の設定に使われる既定のパスワード生成式をリバースエンジニアリングしました。事前共有鍵は1つの単語に4桁の数字を付け足したもので、iPhoneから別のマシンをインターネットに接続するときにユーザーを認証します。Appleがこれらの事前共有鍵を生成する方法に一連の弱点を発見した研究者らは、iOSのテザリング用パスワードを1分未満で確実に(百発百中で)クラッキングすることに成功しています。 Android風とも言われるiOS 7のロック画面は、ベータ版のリリース直後にスペインのユーザーによって簡単に迂回されてしまいました。公平を期すために言っておくと、これはベータリリースです。ベータ版は一般的にバグが多いものですが、今回迂回されたのは多くのユーザーがダウンロードしたパブリックベータでした。 今年に入ってAppleは優れた2段階認証ツールを作成しましたが、iForgotというバグの多いパスワードリセットサービスを伴っていたため、少しのあいだ提供を中断しなければなりませんでした 非常に多くのユーザーが使用するAppleのミュージックプレーヤーiTunesと、絶大な人気を誇るアプリケーションマーケットプレイスApp Storeは、これまでもかなりのフィッシング攻撃やアカウント乗っ取りを受けてきました。こうしたフィッシング攻撃やアカウント乗っ取りは、Apple固有のものでもなければ、無視できる程度のものでもありませんでしたが、AppleのユーザーIDと支払い情報を狙ったフィッシング攻撃が最近になって劇的に増加しています。Apple IDはユーザーが自分のすべてのAppleアカウントとデバイスにアクセスするための鍵のようなものです。 今年に入ってAppleは優れた2段階認証ツールを作成しましたが、iForgotというバグの多いパスワードリセットサービスを伴っていたため、少しのあいだ提供を中断しなければなりませんでした。 Kaspersky LabのNadezhda Demidovaはこの傾向を分析するなかで次のように述べています。「詐欺師は公式のapple.comサイトを模倣したフィッシングサイトを利用します。2012年初頭から現在までの間に、こうしたサイトにアクセスしようとするカスペルスキー製品のユーザーをWebアンチウイルスが検知した件数が大幅に増加しました。この期間の1日当たりの平均検知数は約200,000回です。一方、2011年の検知数は1日あたり1,000回でした。」 新種のMacマルウェアはかつてないペースで登場しています。つい先日も、FBIを装ってOS Xユーザーを狙う、ランサムウェアを使った詐欺についての記事を書きました。また、ウイグルやチベットの活動家を狙ったMacマルウェアについての記事を1か月間読まない(あるいは自分で書かない)ことはないように思えます。また、OS Xのバックドアもありましたし、オスロで開催された監視対策のワークショップで研究者がMacマルウェアの新たな亜種を公開したというケースもありました。 先日はAppleの開発者向けサイトに攻撃者が侵入しました。侵入の目的は明らかになっていませんが、この攻撃者の標的がWindowsユーザーでないことは間違いないでしょう。 他にも、全プラットフォーム共通の多様な脅威が数多く存在します。ホストコンピューターのオペレーティングシステムを特定する能力を備え、OSへの侵入に適した悪質スクリプトを含むものです。 突き詰めていくと、どのプラットフォームを使っているかはあまり問題になりません。盗むお金があれば、つまり探す価値のある情報があれば、あなたのコンピューターも標的として成立します。ユーザーにできることは、常に用心し、強力なセキュリティ製品を使用して、すべてのソフトウェアを最新の状態に保つことです。

Appleと、同社を神のごとく崇めるユーザーは、Apple製品がマルウェアのないプラットフォームであることを長きにわたって誇りとしてきました。そのような時代が終わったことに議論の余地はありません。カリフォルニア州クパチーノに本社を置くIT大手Appleは、モバイルコンピューティング市場の黎明期に成功を収め、(少なくとも過去2年間は)従来型のコンピューターとラップトップの市場でシェアを拡大しており、かつてはAppleを標的にしてもお金にならないと考えていたサイバー犯罪者も、同社に関心を寄せるようになりました。

Apple神話-title

新たな厳しい現実として、Appleを含めどんなプラットフォームも脅威とは無縁ではありません。むしろAppleはさまざまな方向から包囲されていると言えます。攻撃者も研究者も、Appleのモバイル製品、従来型コンピューター、そしてリモートアクセス可能なクラウドサービスにもぜい弱性を発見し、エクスプロイトを作成しています。

AppleのモバイルオペレーティングシステムiOSは、iPhoneまたはiPadからコンピューターへのテザリング機能がありますが、先ごろドイツの大学の研究者チームが、テザリングの事前共有鍵の設定に使われる既定のパスワード生成式をリバースエンジニアリングしました。事前共有鍵は1つの単語に4桁の数字を付け足したもので、iPhoneから別のマシンをインターネットに接続するときにユーザーを認証します。Appleがこれらの事前共有鍵を生成する方法に一連の弱点を発見した研究者らは、iOSのテザリング用パスワードを1分未満で確実に(百発百中で)クラッキングすることに成功しています。

Android風とも言われるiOS 7のロック画面は、ベータ版のリリース直後にスペインのユーザーによって簡単に迂回されてしまいました。公平を期すために言っておくと、これはベータリリースです。ベータ版は一般的にバグが多いものですが、今回迂回されたのは多くのユーザーがダウンロードしたパブリックベータでした。

今年に入ってAppleは優れた2段階認証ツールを作成しましたが、iForgotというバグの多いパスワードリセットサービスを伴っていたため、少しのあいだ提供を中断しなければなりませんでした

非常に多くのユーザーが使用するAppleのミュージックプレーヤーiTunesと、絶大な人気を誇るアプリケーションマーケットプレイスApp Storeは、これまでもかなりのフィッシング攻撃やアカウント乗っ取りを受けてきました。こうしたフィッシング攻撃やアカウント乗っ取りは、Apple固有のものでもなければ、無視できる程度のものでもありませんでしたが、AppleのユーザーIDと支払い情報を狙ったフィッシング攻撃が最近になって劇的に増加しています。Apple IDはユーザーが自分のすべてのAppleアカウントとデバイスにアクセスするための鍵のようなものです。

今年に入ってAppleは優れた2段階認証ツールを作成しましたが、iForgotというバグの多いパスワードリセットサービスを伴っていたため、少しのあいだ提供を中断しなければなりませんでした

Kaspersky LabのNadezhda Demidovaはこの傾向を分析するなかで次のように述べています。「詐欺師は公式のapple.comサイトを模倣したフィッシングサイトを利用します。2012年初頭から現在までの間に、こうしたサイトにアクセスしようとするカスペルスキー製品のユーザーをWebアンチウイルスが検知した件数が大幅に増加しました。この期間の1日当たりの平均検知数は約200,000回です。一方、2011年の検知数は1日あたり1,000回でした。」

新種のMacマルウェアはかつてないペースで登場しています。つい先日も、FBIを装ってOS Xユーザーを狙う、ランサムウェアを使った詐欺についての記事を書きました。また、ウイグルやチベットの活動家を狙ったMacマルウェアについての記事を1か月間読まない(あるいは自分で書かない)ことはないように思えます。また、OS Xのバックドアもありましたし、オスロで開催された監視対策のワークショップで研究者がMacマルウェアの新たな亜種を公開したというケースもありました。

先日はAppleの開発者向けサイトに攻撃者が侵入しました。侵入の目的は明らかになっていませんが、この攻撃者の標的がWindowsユーザーでないことは間違いないでしょう。

他にも、全プラットフォーム共通の多様な脅威が数多く存在します。ホストコンピューターのオペレーティングシステムを特定する能力を備え、OSへの侵入に適した悪質スクリプトを含むものです。

突き詰めていくと、どのプラットフォームを使っているかはあまり問題になりません。盗むお金があれば、つまり探す価値のある情報があれば、あなたのコンピューターも標的として成立します。ユーザーにできることは、常に用心し、強力なセキュリティ製品を使用して、すべてのソフトウェアを最新の状態に保つことです。

デバイスとの休暇-featured

愛用のデバイスと休暇を楽しむために

夏到来。休暇のシーズンがやって来ました。週末に近場のビーチまで小旅行という場合も、行ったことのない国への海外旅行でも、デジタルデバイスは必ず持って行きますよね。むしろ、愛するデジタルデバイスを持たずに旅行に出かけるなどなかなか想像できない人がほとんどでしょう。長期旅行の計画を立てることから、オフィスに到着を知らせることやら休暇の写真を共有することまで、スマートフォンやタブレットは旅行に欠かせないものになりました。では、こうしたデバイスを確実に保護するためには何をする必要があるのでしょうか? オンラインのセキュリティについては、旅行が確定する前から考え始めなければなりません。インターネット接続をいつでも簡単に利用できる今、旅行の計画はスマートフォンやタブレットだけで事足ります。飛行機の予約が必要になっても、大手航空会社の多くが予約用のモバイルアプリを提供していますし、直前になって買いたいものが出てきても、タブレットで数クリックすれば買えます。しかし、こうしたアプリやサイトを利用するときは、モバイルセキュリティを意識することが大切です。 インターネット接続中のセキュリティをできるかぎり確保するため、スマートフォンにもタブレットにも、信頼できるセキュリティプラットフォームを使用しましょう アプリやWebサイトは信頼できるものだけを利用し、クレジットカード情報や自宅住所などの個人情報を提供する際は慎重になりましょう。情報を共有する場合は必ず保護されたサイトを使用してください。 旅行サイトから確認書を受け取っても、リンクやメール添付をクリックしてはいけません。信頼できる会社は確認書をメール本文に含めます。添付で送ることはありません。 インターネット接続中のセキュリティをできるかぎり確保するため、スマートフォンにもタブレットにも、信頼できるセキュリティプラットフォームを使用しましょう。 休暇の計画を立てたら、夢の目的地への出発準備完了です(もちろんデバイスも持って行きますよね)。空港で退屈しのぎをするときも、機内で楽しむときにも、到着後にメールをチェックするときも、次に挙げるセキュリティのヒントを頭に入れておきましょう。 接続するWi-Fiネットワークには注意してください。VPNの使用を検討するのもいいでしょう。VPNは安全な接続を確立し、個人情報への攻撃を防ぎます。 デバイスを放置するのは絶対にやめてください。窃盗犯にしてみれば、あなたが見ていないすきに携帯電話やタブレットを持ち去るのは造作もないことです。油断してはいけません。 デバイスにはパスワードを設定して、自分の情報に見知らぬ人が簡単にアクセスできないようにする必要があります。なるべく長く、複雑なパスワードにするのが安全です。 パスワードで保護していなかったデバイスを盗まれた場合も、個人情報が盗まれないように事前にGPS追跡とリモート削除機能を設定してあれば、ある程度被害を抑えられます。 電話番号、IMEI ID、サービスプロバイダーの番号、自分の顧客IDを書き留めて準備していれば、盗難に遭っても対処できます。 適切なセキュリティ手段を準備しておけば、夏休み中にのんびりと、待望のリラックスタイムを満喫することができます。愛するデジタルデバイスにもお休みをあげていいかな、という気分になるかもしれませんね。

デバイスとの休暇-featured
ヒント